شاكك بوجود تروجان على جهازى

بسم الله الرحمن الرحيم


انا يا شباب شاكك ان يكون عندى تروجان على جهاز يجعل احد يتجسس على انا سابقاً كان عندى عده باتشات وسيرفرات وما الى غير ذلك على نسختى القديمه لانى لم اكن اهتم بالجهاز وخصوصاً وانكم تعرفون ان هذه المسائل اصبحت سهله وهى دمج تروجان او سيرفر اختراق فى برنامج

المهم قمت بتنصيب الافيرا وقمت بعمل اسكان للجهاز ولم يكتشف لى شئ خطير بعض الادوات التى يكتشفها لى كل مره وهى ليست خطيره مثل combo fix او اى ملف كيجن او كراك به تروجان لم يكتشف لى اى شئ اخر فقمت بعد الاسكان والفحص وازاله اى ملفات ضاره بازل النسخه السابقه قمت بتنصيب نسخه ويندوز اكس بى اخرى نظيفه وقمت بتنصيب الافيرا وقمت بتنصيب ايضاً الديب فريز ولا اوقفه ابداً الا فى حاله عمل ابديت للانتى فيرس او نسخ او اضافه ملفات ثم اجعله يعمل مره اخرى

حتى اكون فى امان ولكن الاحظ انه يوجد بعض من المظاهر عندى التى كانت تحدث لى عندما كان جهازى ملئ بالسيرفرات والتروجان وهى


اولاً وجود ملف Explorer.exe وهو مهم لكنه يوجد واحد اساسى للنظام ويوجد ملف مثله تماماً واذا قمت بالغاءه من التاسك بار لا يؤثر فى شئ ولكنه يرجع للعمل مره اخرى بجانب الاساسى

وهذه صور
من Taskmanager


الموضع عليهم النجمه الحمراء
من procexp



الموضع عليها علامه الصح

فانا اشك ان تكرار هذا الملف قد يكون باتش يقوم بالتنصنت على ما اكتبه او احد برامج الكى لوجر او برامج الاختراق المنتشره ويكون مشفر فلا تستطيع برامج الحمايه اكتشافه

وهذا تقرير عن الجهاز

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:43:53 ص, on 30/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll (filesize 197984 bytes, MD5 35C9006DBD5099B5FB61991EE3F1F3CE)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot (filesize 3241312 bytes, MD5 9FCB50CFA6606315F58A8704EF343879)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm (filesize 283 bytes, MD5 648E7B2602158D2FF9197D664F59B28B)
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm (filesize 278 bytes, MD5 0474B49F5F2AD77C0A191C570818CB4D)
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm (filesize 277 bytes, MD5 7EE0CC294B365F8FC4FAB2F06E01AC95)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O20 - Winlogon Notify: DfLogon - LogonDll.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exeC:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exeC:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DFServ - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exeC:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe

--
End of file - 4326 bytes

مع العلم اوقات اجد ان التاريخ او الوقت للجهاز قد تغير عندما اغلق الجهاز لمده طويله لا اعرف صراحه هل هذا سببه بطاريه ال cmos قد تكون تحتاج للاستبدال باخرى او قد يكون هذا عمل التروجان مع العلم انه يحتفظ بباقى الاشياء مثل كلمات السر على Bios و ترتيبات الاقلاع للجهاز

اريدكم ان تخبرونى هل هذا الامر طبيعى ام ماذا


واسف على الاطاله

أكثر...